Хитрий вірус і WebMoney

[kudrom]

Така штука: коли в Вебмані вибираю "Копировать номер кошелька в буфер", в буфері з’являється зовсім інший номер. Просканував комп NOD’ом - не допомагає... Хто знає, що це за хитрий вірус і чим його можна вилікувати??

[fog]

Цей спосіб став вже загальновживаним. Це навіть не певний вірус а технологія. Аналогів створених по ній сотні.

Trojan-PSW.Win32.WebMoner.j

Rootkit: Нет

Видимые проявления: Посторонний процесс в памяти

Подмена номеров кошельков WebMoney и Яндекс.Деньги в буфере обмена

Синонимы: Trojan.PWS.Webmonier (DrWEB)

Троянская программа, написана на Basic, не сжата и не зашифрована, размер 28672 байта. Иконка и копирайты файла поддельные для его маскировки под компонент TWAIN Windows. В случае запуска скрытно выполняет следующие операции:

1. Создает копию своего исполняемого файла в папке WINDOWS. Имя исполняемого файла соответствует имени, под которым троян бал запущен на компьютере пользователя

2. Регистрируется в автозапуске, ключ CurrentVersion\Run, параметр System

3. После запуска скрытно остается в памяти и по таймеру выполняет опрос содержимого буфера обмена. В случае обнаружения в буфере обмена номера кошелька WebMoney (текстовая строка, начинающаяся на Z, E, R, U и 12 цифр после буквы) троянская программа заменяет этот номер на номер кошелька злоумышленника. Для выполнения этой замены в теле троянской программы открытым текстом заданы соответствующие номера Z, E, R и U кошельков. Кроме того, в случае обнаружения в буфере числа, начинающегося с «4» и содержащего 13-14 знаков троянская программа заменяет его на число, заданное в программе. Несложно заметить, что подобный формат имеют номера кошельков системы "Яндекс.Деньги".

Таким образом, принцип действия троянской программы основан на том, что при совершении платежа часто номера кошельков копируются через буфер обмена и пользователь обычно не проверяет многозначный номер после его вставки. Троянская программа подменяет номер, и пользователь копирует в буфер правильный номер кошелька, а вставляет из буфера уже номер кошелька создателя троянской программы и соответственно отправляет ему деньги.

Методика защиты

Методика защиты достаточно проста - следует всегда контролировать платежные реквизиты перед совершением платежа через Интернет. Подобный контроль защитит от различных методик подделки и подмены номера кошелька в процессе его ввода или копирования через буфер обмена.

А ось темка з добре всім відомого форуму https://forum.zloy.org/showthread.php?t=20148

Візьми відкрий таскменеджер, відсортуй процеси за відсотком юзання CPU і постійно копіюй і вставляй номери WebMoner гаманців. І вот який процес активізується (крім самого кіпера) думаю той і буде трояном.

[Zevs_Isver]

ещё хорошая практика юзать "код протекции" для оплаты даже "доверенным" пользователям

[kudrom]

Що найбільше обідно, що попередній раз платіж приходив від цієї людини з кодом протекції.... А то якось на автоматі "копіювати-вставити" і капєц... Добре, що хоч сума невеличка, будемо вважати це отриманим досвідом )

[Zevs_Isver]

стукни в арбитраж, пусть забанят бойца

не нужно такое спускть на тормозах

[kudrom]

"Бійця" забанили. А ще подав скаргу в арбітраж, не пожалів одного бакса. Не вернуть, то не вернуть, але фіг він свої/чужі гроші забере!